[HTB][Sherlocks] Meerkat
字数 1473 2025-08-10 08:28:15

HTB Sherlocks Meerkat 取证分析教学文档

1. 环境背景

  • 目标系统:Forela公司的商业管理平台(内网IP 172.31.6.44:8080
  • 攻击类型:凭证填充(Credential Stuffing)→ RCE漏洞利用 → 持久化后门
  • 数据源:PCAP流量包、meerkat-alerts.json日志文件

2. 关键任务解析

TASK 1: 确认被攻击的应用程序
  • 分析方法
    1. 过滤流量:tcp.port == 8080 && ip.dst == 172.31.6.44
    2. 发现HTTP请求路径包含/bonita,通过Google搜索确认。
  • 答案Bonitasoft(商业流程管理平台)
TASK 2: 攻击类型识别
  • 流量特征
    • 大量POST /bonita/loginservice请求,使用不同凭证。
    • 非暴力破解,而是重用已知泄露凭证
  • 答案Credential Stuffing(撞库攻击)
TASK 3: 漏洞CVE编号
  • 日志分析
    • meerkat-alerts.json中搜索攻击者IP 156.146.62.213
    • 关联到漏洞利用记录。
  • 答案CVE-2022-25237(Bonitasoft授权绕过漏洞)
TASK 4: API授权绕过字符串
  • 漏洞利用路径
    • 攻击者在URL后附加特定字符串绕过鉴权。
  • 答案i18ntranslation
TASK 5: 凭证组合数量
  • 过滤条件
    ip.dst == 172.31.6.44 && tcp.port == 8080 && 
http.request.method == "POST" && http.request.uri contains "/bonita/loginservice"
  • 统计结果56组凭证。
TASK 6: 成功登录的凭证
  • 分析过程
    • 查找HTTP 200响应的登录请求。
  • 答案seb.broom@forela.co.uk:g0vernm3nt
TASK 7: 攻击者使用的文本共享网站
  • 流量证据
    • 攻击者通过wget下载外部脚本,域名包含pastes
  • 答案pastes.io
TASK 8: 持久化脚本的哈希
  • 文件下载
    wget https://pastes.io/raw/bx5gcr0et8
md5sum bx5gcr0et8
  • 答案0dc54416c346584539aa985e9d69a98e
TASK 9: 攻击者公钥的哈希
  • 文件下载
    wget https://pastes.io/raw/hffgra4unv
md5sum hffgra4unv
  • 答案dbb906628855a433d70025b6692c05e7

3. 攻击链还原

  1. 初始访问:通过撞库获取合法凭证 seb.broom@forela.co.uk:g0vernm3nt
  2. 漏洞利用:利用CVE-2022-25237,在API路径添加i18ntranslation绕过授权。
  3. 远程代码执行:通过漏洞执行whoamicat /etc/passwd等命令。
  4. 持久化
    • 下载脚本bx5gcr0et8(MD5: 0dc544...)。
    • 部署SSH公钥hffgra4unv(MD5: dbb906...)。

4. 防御建议

  • 修复漏洞:升级Bonitasoft至已修复版本。
  • 监控措施
    • 检测异常登录(如频繁/loginservice请求)。
    • 拦截对pastes.io等可疑域名的访问。
  • 凭证安全:强制启用MFA,禁止弱密码复用。

5. 补充工具

  • 流量分析:Wireshark过滤语法(如http.request.uri contains "bonita")。
  • 哈希验证md5sumshasum校验文件完整性。

注:TASK 10-11需结合更多数据补充分析。以上内容基于公开的FreeBuf文章及HTB题目要求整理,关键步骤需实际数据验证。

HTB Sherlocks Meerkat 取证分析教学文档 1. 环境背景 目标系统 :Forela公司的商业管理平台(内网IP 172.31.6.44:8080 ) 攻击类型 :凭证填充(Credential Stuffing)→ RCE漏洞利用 → 持久化后门 数据源 :PCAP流量包、 meerkat-alerts.json 日志文件 2. 关键任务解析 TASK 1: 确认被攻击的应用程序 分析方法 : 过滤流量: tcp.port == 8080 && ip.dst == 172.31.6.44 发现HTTP请求路径包含 /bonita ,通过Google搜索确认。 答案 : Bonitasoft (商业流程管理平台) TASK 2: 攻击类型识别 流量特征 : 大量 POST /bonita/loginservice 请求,使用不同凭证。 非暴力破解,而是 重用已知泄露凭证 。 答案 : Credential Stuffing (撞库攻击) TASK 3: 漏洞CVE编号 日志分析 : 在 meerkat-alerts.json 中搜索攻击者IP 156.146.62.213 。 关联到漏洞利用记录。 答案 : CVE-2022-25237 (Bonitasoft授权绕过漏洞) TASK 4: API授权绕过字符串 漏洞利用路径 : 攻击者在URL后附加特定字符串绕过鉴权。 答案 : i18ntranslation TASK 5: 凭证组合数量 过滤条件 : 统计结果 : 56 组凭证。 TASK 6: 成功登录的凭证 分析过程 : 查找HTTP 200响应的登录请求。 答案 : seb.broom@forela.co.uk:g0vernm3nt TASK 7: 攻击者使用的文本共享网站 流量证据 : 攻击者通过 wget 下载外部脚本,域名包含 pastes 。 答案 : pastes.io TASK 8: 持久化脚本的哈希 文件下载 : 答案 : 0dc54416c346584539aa985e9d69a98e TASK 9: 攻击者公钥的哈希 文件下载 : 答案 : dbb906628855a433d70025b6692c05e7 3. 攻击链还原 初始访问 :通过撞库获取合法凭证 seb.broom@forela.co.uk:g0vernm3nt 。 漏洞利用 :利用 CVE-2022-25237 ,在API路径添加 i18ntranslation 绕过授权。 远程代码执行 :通过漏洞执行 whoami 、 cat /etc/passwd 等命令。 持久化 : 下载脚本 bx5gcr0et8 (MD5: 0dc544... )。 部署SSH公钥 hffgra4unv (MD5: dbb906... )。 4. 防御建议 修复漏洞 :升级Bonitasoft至已修复版本。 监控措施 : 检测异常登录(如频繁 /loginservice 请求)。 拦截对 pastes.io 等可疑域名的访问。 凭证安全 :强制启用MFA,禁止弱密码复用。 5. 补充工具 流量分析 :Wireshark过滤语法(如 http.request.uri contains "bonita" )。 哈希验证 : md5sum 或 shasum 校验文件完整性。 注:TASK 10-11需结合更多数据补充分析。以上内容基于公开的FreeBuf文章及HTB题目要求整理,关键步骤需实际数据验证。